Configuración de las políticas de control de acceso del plano de control para Secure Firewall Threat Defence y ASA

Opciones de descarga

  • PDF     (4.8 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (5.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de diciembre de 2023
ID del documento:221457

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el proceso para configurar las reglas de acceso del plano de control para Secure Firewall Threat Defense y Adaptive Security Appliance (ASA).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Protección frente a amenazas de firewall (FTD)
    • Administrador de dispositivos de firewall seguro (FDM)
    • Centro de gestión de firewall seguro (FMC)
    • ASA de firewall seguro
    • Lista de control de acceso (ACL)
    • FlexConfig

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Secure Firewall Threat Defence versión 7.2.5
    • Secure Firewall Manager Center versión 7.2.5
    • Secure Firewall Device Manager versión 7.2.5
    • Secure Firewall ASA versión 9.18.3

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El tráfico normalmente atraviesa un firewall y se enruta entre interfaces de datos; en algunas circunstancias, es beneficioso denegar el tráfico destinado al firewall seguro. El firewall seguro de Cisco puede utilizar una lista de control de acceso (ACL) del plano de control para restringir el tráfico "listo para usar". Un ejemplo de cuándo una ACL del plano de control puede ser útil sería controlar qué peers pueden establecer un túnel VPN (VPN de sitio a sitio o de acceso remoto) al firewall seguro.

    Tráfico "mediante el dispositivo" de firewall seguro

    El tráfico normalmente atraviesa los firewalls de una interfaz (entrante) a otra interfaz (saliente), lo que se conoce como tráfico 'mediante el dispositivo' y lo gestionan tanto las políticas de control de acceso (ACP) como las reglas de prefiltrado.

    Image 1. Through-the-box traffic exampleImagen 1. Ejemplo de tráfico listo para usar

    Tráfico "listo para usar" de firewall seguro

    Hay otros casos en los que el tráfico está destinado directamente a una interfaz FTD (VPN de sitio a sitio o de acceso remoto), esto se conoce como tráfico "a la caja" y es administrado por el plano de control de esa interfaz específica.

    Image 2. To-the-box traffic exampleImagen 2. Ejemplo de tráfico To-the-box

    Consideraciones Importantes sobre las ACL del Plano de Control

    • A partir de la versión 7.0 de FMC/FTD, se debe configurar una ACL del plano de control mediante FlexConfig, utilizando la misma sintaxis de comandos utilizada en el ASA.
    • La palabra clave control-plane se anexa a la configuración del grupo de acceso, que aplica el tráfico 'a' la interfaz de firewall segura. Sin la palabra del plano de control anexada al comando, la ACL restringiría el tráfico a 'través' del firewall seguro.
    • Una ACL de plano de control no restringe SSH, ICMP o TELNET entrante a una interfaz de firewall segura. Se procesan (se permiten o deniegan) según las directivas de configuración de la plataforma y tienen mayor prioridad.
    • Una ACL del plano de control restringe el tráfico "al" propio firewall seguro, mientras que la política de control de acceso para el FTD o las ACL normales para el ASA, controla el tráfico "a través" del firewall seguro.
    • A diferencia de una ACL normal, no hay una 'deny' implícita al final de la ACL.
    • La función de búsqueda de grupos de objetos (OGS) no funciona en las ACL del plano de control, CSCwi58818.
    • En el momento de la creación de este documento, la función de geolocalización de FTD no se puede utilizar para restringir el acceso al FTD.

    Configurar

    En el siguiente ejemplo, un conjunto de direcciones IP de un país determinado intenta aplicar fuerza bruta VPN a la red al intentar iniciar sesión en el RAVPN FTD. La mejor opción para proteger el FTD contra estos ataques de fuerza bruta VPN es configurar una ACL de plano de control para bloquear estas conexiones a la interfaz FTD externa.

    Configuraciones

    Configuración de una ACL de plano de control para FTD gestionada por FMC

    Este es el procedimiento que debe seguir en un FMC para configurar una ACL del plano de control para bloquear los ataques de fuerza bruta de VPN entrantes a la interfaz FTD externa:

    Paso 1. Abra la interfaz gráfica de usuario (GUI) de FMC mediante HTTPS e inicie sesión con sus credenciales.

    Image 3. FMC Log In pageImagen 3. Página de inicio de sesión de FMC

    Paso 2. Necesita crear una ACL extendida. Para ello, navegue hasta Objetos > Gestión de objetos.

    Image 4. Object ManagementImagen 4. Gestión de objetos

    Paso 2.1. En el panel izquierdo, navegue hasta Lista de acceso > Extendida para crear una ACL extendida.

    Image 5. Extended ACL menuImagen 5. Menú ACL extendido

    Paso 2.2. A continuación, seleccione Agregar lista de acceso ampliada.

    Image 6. Add Extended ACLImagen 6. Agregar ACL extendida

    Paso 2.3. Escriba un nombre para la ACL extendida y, a continuación, haga clic en el botón Agregar para crear una entrada de control de acceso (ACE):

    Image 7. Extended ACL entriesImagen 7. Entradas de ACL extendidas

    Paso 2.4. Cambie la acción ACE a Block (Bloquear), luego agregue la red de origen para que coincida con el tráfico que debe ser denegado al FTD, mantenga la red de destino como Any (Cualquiera) y haga clic en el botón Add (Agregar) para completar la entrada ACE:

    - En este ejemplo, la entrada ACE configurada bloquea los ataques de fuerza bruta VPN que provienen de la subred 192.168.1.0/24.

    Image 8. Denied NetworksImagen 8. Redes denegadas

    Paso 2.5. En caso de que necesite agregar más entradas ACE, vuelva a hacer clic en el botón Add (Agregar) y repita el paso 2.4. Después de esto, haga clic en el botón Save (Guardar) para completar la configuración de ACL.

    Image 9. Completed Extended ACL entriesImagen 9. Entradas de ACL extendidas completadas

    Paso 3. A continuación, debe configurar un objeto Flex-Config para aplicar la ACL del plano de control a la interfaz FTD externa. Para ello, desplácese al panel izquierdo y seleccione la opción FlexConfig > Objeto FlexConfig.

    Image 10. FlexConfig Object menuImagen 10. Menú Objeto FlexConfig

    Paso 3.1. Haga clic en Agregar objeto FlexConfig.

    Image 11. Add Flexconfig ObjectImagen 1. Agregar Objeto Flexconfig

    Paso 3.2. Agregue un nombre para el objeto FlexConfig y, a continuación, inserte un objeto de directiva ACL. Para ello, seleccione Insertar > Insertar objeto de directiva > Objeto ACL extendido.

    Image 12. FlexConfig Object variableImagen 12. Variable de objeto FlexConfig

    Paso 3.3. Agregue un nombre para la variable de objeto ACL y, a continuación, seleccione la ACL extendida que se creó en el paso 2.3; después de esto, haga clic en el botón Save (Guardar).

    Image 13. FlexConfig Object variable ACL assigmentImagen 13. Asignación de ACL de variable de objeto FlexConfig

    Paso 3.4. Luego, configure la ACL del plano de control como entrante para la interfaz externa de la siguiente manera.

    Sintaxis de la línea de comandos:

    access-group "variable name starting with $ symbol" in interface "interface-name" control-plane

    Esto se traduce en el siguiente ejemplo de comando, que utiliza la variable ACL creada en el Paso 2.3 'VAR-ACL-UNWANTED-COUNTRY' de la siguiente manera:

    access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane

    Así se debe configurar en la ventana de objetos de FlexConfig. A continuación, seleccione el botón Guardar para completar el objeto de FlexConfig.

    Image 14. Flexconfig Object complete command lineImagen 14. Línea de comandos completa del objeto Flexconfig

    Nota: Se recomienda encarecidamente configurar la ACL del plano de control sólo para las interfaces que reciben sesiones VPN de acceso remoto entrantes en el firewall seguro, como la interfaz externa.

    Paso 4. Debe aplicar la configuración del objeto FlexConfig al FTD. Para ello, vaya a Dispositivos > FlexConfig.

    Image 15. FlexConfig Policy menuImagen 15. Menú Política de FlexConfig

    Paso 4.1. A continuación, haga clic en New Policy (Nueva política) si aún no hay una FlexConfig creada para el FTD o edite la política FlexConfig existente.

    Image 16. FlexConfig Policy creationImagen 16. Creación de la política FlexConfig

    Paso 4.2. Agregue un nombre para la nueva política FlexConfig y seleccione el FTD al que desea aplicar la ACL del plano de control creada.

    Image 17. FlexConfig Policy device assigmentImagen 17. Asignación de dispositivo de política FlexConfig

    Paso 4.3. En el panel izquierdo, busque el objeto FlexConfig creado en el paso 3.2 y, a continuación, agréguelo a la directiva FlexConfig haciendo clic en la flecha derecha situada en el centro de la ventana. A continuación, haga clic en el botón Save (Guardar).

    Image 18. FlexConfig Policy object assigmentImagen 18. Asignación de objeto de política FlexConfig

    Paso 5. Continúe con la implementación del cambio de configuración en el FTD. Para ello, navegue hasta Deploy > Advanced Deploy .

    Image 19. FTD Advanced DeployImagen 19. Implementación avanzada de FTD

    Paso 5.1. A continuación, seleccione el FTD al que desea aplicar la política FlexConfig. Si todo es correcto, haga clic en Deploy (Implementar).

    Image 20. FTD Deployment validationImagen 20. Validación de implementación de FTD

    Paso 5.2. Después de esto, se muestra una ventana de confirmación de implementación, agregue un comentario para realizar un seguimiento de la implementación y continúe con la implementación.

    Image 21. FTD Deployment commentsImagen 21. Comentarios de implementación de FTD

    Paso 5.3. Puede aparecer un mensaje de advertencia al implementar los cambios de FlexConfig. Haga clic en Implementar sólo si está completamente seguro de que la configuración de la política es correcta.

    Image 22. FTD Deployment Flexconfig warningImagen 2. Advertencia de Flexconfig de implementación de FTD

    Paso 5.4. Confirme que la implementación de la política es correcta para el FTD.

    Image 23. FTD Deployment successfulImagen 23. Implementación de FTD correcta

    Paso 6. Si crea una nueva ACL de plano de control para el FTD o si editó una existente que está en uso activamente, es importante resaltar que los cambios de configuración realizados no se aplican a las conexiones ya establecidas al FTD; por lo tanto, debe borrar manualmente los intentos de conexión activos al FTD. Para ello, conéctese a la CLI del FTD y borre las conexiones activas de la siguiente manera.

    Para borrar la conexión activa para una dirección IP de host específica:

    > clear conn address 192.168.1.10 all

    Para borrar las conexiones activas para una red de subred completa:

    > clear conn address 192.168.1.0 netmask 255.255.255.0 all

    Para borrar las conexiones activas para un rango de direcciones IP:

    > clear conn address 192.168.1.1-192.168.1.10 all

    Nota: Se recomienda utilizar la palabra clave 'all' al final del comando clear conn address para forzar la eliminación de los intentos de conexión de fuerza bruta VPN activos al firewall seguro, principalmente cuando la naturaleza del ataque de fuerza bruta VPN está lanzando una ráfaga de intentos de conexión constantes.

    Configuración de una ACL de plano de control para FTD gestionada por FDM

    Este es el procedimiento que debe seguir en un FDM para configurar una ACL del plano de control para bloquear los ataques de fuerza bruta de VPN entrantes a la interfaz FTD externa:

    Paso 1. Abra la GUI de FDM mediante HTTPS e inicie sesión con sus credenciales.

    Image 24. FDM Log In pageImagen 24. Página de inicio de sesión de FDM

    Paso 2. Debe crear una red de objetos. Para ello, vaya a Objetos:

    Image 25. FDM main dashboardImagen 25. Panel principal de FDM

    Paso 2.1. En el panel izquierdo, seleccione Redes y, a continuación, haga clic en el botón '+' para crear un nuevo objeto de red.

    Image 26. Object creationImagen 26. Creación de objetos

    Paso 2.2. Agregue un nombre para el objeto de red, seleccione el tipo de red para el objeto, agregue la dirección IP, la dirección de red o el rango de IP para que coincidan con el tráfico que debe denegarse al FTD. A continuación, haga clic en el botón Aceptar para completar la red de objetos.

    - En este ejemplo, la red de objetos configurada está pensada para bloquear los ataques de fuerza bruta de VPN que provienen de la subred 192.168.1.0/24.

    Image 27. Add Network ObjectImagen 27. Agregar objeto de red

    Paso 3. A continuación, debe crear una lista de control de acceso ampliada; para ello, vaya a la ficha Device (Dispositivo) del menú superior.

    Image 28. Device settings pageImagen 28. Página Configuración del dispositivo

    Paso 3.1. Desplácese hacia abajo y seleccione Ver configuración en el cuadro Configuración avanzada como se indica a continuación.  

    Image 29. FDM Advanced ConfigurationImagen 29. Configuración avanzada de FDM

    Paso 3.2. A continuación, en el panel izquierdo, navegue hasta CLI inteligente > Objetos y haga clic en CREAR OBJETO CLI INTELIGENTE.

    Image 30. Smart CLI ObjectsImagen 30. Objetos CLI inteligentes

    Paso 3.3. Agregue un nombre para la ACL extendida que desea crear, seleccione Lista de acceso extendida en el menú desplegable de la plantilla CLI y configure las ACE necesarias mediante el objeto de red creado en el paso 2.2. A continuación, haga clic en el botón Aceptar para completar la ACL.

    Image 31. Extended ACL creationImagen 31. Creación de ACL ampliada

    Nota: Si necesita agregar más ACE para la ACL, puede hacerlo pasando el ratón sobre la izquierda de la ACE actual; entonces no aparecen tres puntos en los que se puede hacer clic. Haga clic en ellos y seleccione Duplicar para agregar más ACE. 

    Paso 4. A continuación, debe crear un objeto FlexConfig; para ello, vaya al panel izquierdo, seleccione FlexConfig > Objetos FlexConfig y haga clic en CREAR OBJETO FLEXCONFIG.

    Image 32. FlexConfig ObjectsImagen 32. Objetos FlexConfig

    Paso 4.1. Agregue un nombre para el objeto FlexConfig para crear y configurar la ACL del plano de control como entrante para la interfaz externa de la siguiente manera.

    Sintaxis de la línea de comandos:

    access-group "ACL-name" in interface "interface-name" control-plane

    Esto se traduce en el siguiente ejemplo de comando, que utiliza la ACL extendida creada en el Paso 3.3 'ACL-UNWANTED-COUNTRY' de la siguiente manera:

    access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

    Así se puede configurar en la ventana de objetos de FlexConfig. A continuación, seleccione el botón Aceptar para completar el objeto de FlexConfig.

    Image 33. FlexConfig Object creationImagen 3. Creación de objetos FlexConfig

    Nota: Se recomienda encarecidamente configurar la ACL del plano de control sólo para las interfaces que reciben sesiones VPN de acceso remoto entrantes en el firewall seguro, como la interfaz externa.

    Paso 5. Proceda a crear una política FlexConfig. Para ello, navegue hasta Flexconfig > Política FlexConfig, haga clic en el botón '+' y seleccione el objeto FlexConfig que se creó en el paso 4.1.

    Image 34. FlexConfig PolicyImagen 34. Política FlexConfig

    Paso 5.1. Verifique que la vista previa de FlexConfig muestre la configuración correcta para la ACL del plano de control creada y haga clic en el botón Save (Guardar).

    Image 35. FlexConfig Policy previewImagen 35. Vista previa de política FlexConfig

    Paso 6. Implemente los cambios de configuración en el FTD que desee proteger contra los ataques de fuerza bruta VPN. Para ello, haga clic en el botón Implementación del menú superior, valide que los cambios de configuración que desea implementar son correctos y, a continuación, haga clic en IMPLEMENTAR AHORA.

    Image 36. Pending DeploymentImagen 36. Implementación pendiente

    Paso 6.1. Valide que la implementación de la política se realice correctamente.

    Image 37. Deployment successfulImagen 37. Implementación correcta

    Paso 7. Si crea una nueva ACL de plano de control para el FTD o si editó una existente que está en uso activamente, es importante resaltar que los cambios de configuración realizados no se aplican a las conexiones ya establecidas al FTD; por lo tanto, debe borrar manualmente los intentos de conexión activos al FTD. Para ello, conéctese a la CLI del FTD y borre las conexiones activas de la siguiente manera.

    Para borrar la conexión activa para una dirección IP de host específica:

    > clear conn address 192.168.1.10 all

    Para borrar las conexiones activas para una red de subred completa:

    > clear conn address 192.168.1.0 netmask 255.255.255.0 all

    Para borrar las conexiones activas para un rango de direcciones IP:

    > clear conn address 192.168.1.1-192.168.1.10 all

    Nota: Se recomienda utilizar la palabra clave 'all' al final del comando clear conn address para forzar la eliminación de los intentos de conexión de fuerza bruta VPN activos al firewall seguro, principalmente cuando la naturaleza del ataque de fuerza bruta VPN está lanzando una ráfaga de intentos de conexión constantes.

    Configuración de una ACL de plano de control para ASA mediante CLI

    Este es el procedimiento que debe seguir en una CLI ASA para configurar una ACL del plano de control para bloquear los ataques de fuerza bruta de VPN entrante a la interfaz externa:

    Paso 1. Inicie sesión en el firewall ASA seguro a través de CLI y obtenga acceso al 'configure terminal' de la siguiente manera.

    asa# configure terminal

    Paso 2. Utilice el siguiente comando para configurar una ACL extendida para bloquear una dirección IP de host o una dirección de red para el tráfico que debe bloquearse en el ASA.

    - En este ejemplo, crea una nueva ACL llamada 'ACL-UNWANTED-COUNTRY' y la entrada ACE configurada bloquea los ataques de fuerza bruta VPN que provienen de la subred 192.168.1.0/24.

    asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

    Paso 3. Utilice el siguiente comando access-group para configurar la ACL 'ACL-UNWANTED-COUNTRY' como ACL de plano de control para la interfaz externa de ASA.

    asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

    Nota: Se recomienda encarecidamente configurar la ACL del plano de control sólo para las interfaces que reciben sesiones VPN de acceso remoto entrantes en el firewall seguro, como la interfaz externa.

    Paso 4. Si crea una nueva ACL del plano de control o si editó una existente que está en uso activamente, es importante resaltar que los cambios de configuración realizados no se aplican a las conexiones ya establecidas con el ASA, por lo tanto, necesita borrar manualmente los intentos de conexión activos con el ASA. Para esto, borre las conexiones activas de la siguiente manera.

    Para borrar la conexión activa para una dirección IP de host específica:

    asa# clear conn address 192.168.1.10 all

    Para borrar las conexiones activas para una red de subred completa:

    asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all

    Para borrar las conexiones activas para un rango de direcciones IP:

    asa# clear conn address 192.168.1.1-192.168.1.10 all

    Nota: Se recomienda utilizar la palabra clave 'all' al final del comando clear conn address para forzar la eliminación de los intentos de conexión de fuerza bruta VPN activos al firewall seguro, principalmente cuando la naturaleza del ataque de fuerza bruta VPN está lanzando una ráfaga de intentos de conexión constantes.

    Configuración alternativa para bloquear los ataques de firewall seguro mediante el comando 'shun' 

    En caso de que exista una opción inmediata para bloquear los ataques al firewall seguro, puede utilizar el comando 'shun'. El comando hunle permite bloquear las conexiones de un host atacante. Aquí tiene más detalles sobre este comando shun:

    • Una vez que rechaza una dirección IP, todas las conexiones futuras de la dirección IP de origen se descartan y se registran hasta que la función de bloqueo se elimina manualmente.
    • La función de bloqueo del comando hunse aplica independientemente de si una conexión con la dirección de host especificada está actualmente activa.
    • Si especifica la dirección de destino, los puertos de origen y de destino y el protocolo, descarta la conexión coincidente y envía una señal de rechazo a todas las conexiones futuras desde la dirección IP de origen; todas las conexiones futuras se rechazan, no sólo las que coincidan con estos parámetros de conexión específicos.
    • Sólo puede tener uncomando hunpor dirección IP de origen.
    • Dado que el comando hunse utiliza para bloquear ataques dinámicamente, no se muestra en la configuración del dispositivo de defensa contra amenazas.
    • Siempre que se elimina una configuración de interfaz, también se eliminan todos los shuns conectados a esa interfaz.
    • Sintaxis del comando Shun:
    shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
    • Para inhabilitar un shun, utilice la forma no de este comando:
    no shun source_ip [ vlan vlan_id]

    Para rechazar una dirección IP de host, proceda como se indica a continuación para el firewall seguro. En este ejemplo, el comando 'shun' se utiliza para bloquear los ataques de fuerza bruta de VPN que provienen de la dirección IP de origen 192.168.1.10.

    Ejemplo de configuración de FTD.

    Paso 1. Inicie sesión en el FTD a través de CLI y aplique el comando shun de la siguiente manera.

    > shun 192.168.1.10
    Shun 192.168.1.10 added in context: single_vf
    Shun 192.168.1.10 successful

    Paso 2. Puede utilizar los comandos show para confirmar las direcciones IP rechazadas en el FTD y para monitorear los recuentos de aciertos rechazados por dirección IP:

    > show shun
shun (outside) 192.168.1.10 0.0.0.0 0 0 0  

    > show shun statistics
diagnostic=OFF, cnt=0
outside=ON, cnt=0

Shun 192.168.1.10 cnt=0, time=(0:00:28)

    Ejemplo de configuración para ASA

    Paso 1. Inicie sesión en ASA a través de CLI y aplique el comando shun de la siguiente manera.

    asa# shun 192.168.1.10
    Shun 192.168.1.10 added in context: single_vf
    Shun 192.168.1.10 successful

    Paso 2. Puede utilizar los comandos show para confirmar las direcciones IP rechazadas en el ASA y para monitorear los recuentos de aciertos rechazados por dirección IP:

    asa# show shun
shun (outside) 192.168.1.10 0.0.0.0 0 0 0

    asa# show shun statistics 
outside=ON, cnt=0
inside=OFF, cnt=0
dmz=OFF, cnt=0
outside1=OFF, cnt=0
mgmt=OFF, cnt=0

Shun 192.168.1.10 cnt=0, time=(0:01:39)

    Nota: Para obtener más información sobre el comando secure firewall shun, consulte la Referencia de Comandos de Cisco Secure Firewall Threat Defence   

    Verificación

    Para confirmar que la configuración ACL del plano de control está en su lugar para el firewall seguro, proceda de la siguiente manera:

    Paso 1. Inicie sesión en el firewall seguro a través de CLI y ejecute los siguientes comandos para confirmar que se ha aplicado la configuración de ACL del plano de control.

    Ejemplo de salida del FTD gestionado por el CSP:

    > show running-config access-list ACL-UNWANTED-COUNTRY 
    access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

    > show running-config access-group
    ***OUTPUT OMITTED FOR BREVITY***
    access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

    Ejemplo de salida del FTD gestionado por FDM:

    > show running-config object id OBJ-NET-UNWANTED-COUNTRY
    object network OBJ-NET-UNWANTED-COUNTRY
    subnet 192.168.1.0 255.255.255.0

    > show running-config access-list ACL-UNWANTED-COUNTRY 
    access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default

    > show running-config access-group
    ***OUTPUT OMITTED FOR BREVITY***
    access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

    Ejemplo de salida para ASA:

    asa# show running-config access-list ACL-UNWANTED-COUNTRY 
    access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

    asa# show running-config access-group
    ***OUTPUT OMITTED FOR BREVITY***
    access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

    Paso 2. Para confirmar que la ACL del plano de control está bloqueando el tráfico requerido, utilice el comando packet-tracer para simular una conexión TCP 443 entrante con la interfaz externa del firewall seguro, luego utilice el comando show access-list <acl-name> el conteo de aciertos de la ACL puede incrementarse cada vez que la ACL del plano de control bloquea una conexión VPN de fuerza bruta con el firewall seguro:

    - En este ejemplo, el comando packet-tracer simula una conexión TCP 443 entrante originada en el host 192.168.1.10 y destinada a la dirección IP externa de nuestro firewall seguro. El resultado del 'packet-tracer' confirma que el tráfico se está descartando y el resultado del 'show access-list' muestra los incrementos de conteo de aciertos para nuestra ACL del plano de control en su lugar:  

    Ejemplo de salida para FTD

    > packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443
Phase: 1
Type: ACCESS-LIST
Subtype: log
Result: DROP
Elapsed time: 21700 ns
Config:
Additional Information:

Result:
input-interface: outside(vrfid:0)
input-status: up
input-line-status: up
Action: drop
Time Taken: 21700 ns
Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA

    > show access-list ACL-UNWANTED-COUNTRY
    access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
    access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf

    Ejemplo de salida para ASA

    asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443
Phase: 1
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Elapsed time: 19688 ns
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: DROP
Elapsed time: 17833 ns
Config:
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
Action: drop
Time Taken: 37521 ns
Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA

asa# show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac

    Nota: Si se implementa una solución RAVPN como Cisco Secure Client VPN en el firewall seguro, se podría realizar un intento real de conexión al firewall seguro para confirmar que la ACL del plano de control funciona como se esperaba para bloquear el tráfico requerido.

    Errores relacionados

    • ENH | Conexiones de AnyConnect Client basadas en geolocalización: ID de bug de Cisco CSCvs65322
    • DOC: La búsqueda de grupos de objetos de ASA/FTD no admite ACL del plano de control: ID de bug de Cisco CSCwi58818  

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Dec-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Carlos Arteaga
      Cisco TAC Engineer
    • Christian Hernandez
      Cisco Security Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos